WEB

WEB安全

漏洞复现

CTF

常用工具

实战

代码审计

后渗透

内网渗透

免杀

进程注入

权限提升

漏洞复现

靶机

vulnstack

vulnhub

Root-Me

编程语言

java

逆向

PE

逆向学习

HEVD

其它

关于博客

面试

杂谈

对某查成绩系统的一次渗透测试

老师不允许几个关键字出现

就只能这么说了..

0x01 信息收集

nmap上去一顿扫, 毕竟是内网机器端口肯定开放的比较多

1433是对外开放的,8000上面还有个web服务

打开8000端口看一下发现有目录示例漏洞,文件全部列出来了,有一个压缩包,猜测是网站源码,下下来看一下

(到写文章的时候目录示例已经修复了,已经没有截图了,假装这里有张图)

打开压缩包先看Web.config,找到MSSQL的密码

直接连上去

本来想着这不就简单了直接上去xp_cmdshell就行了

然后就被拦截了

这种必是360淦的,没办法只有先找绝对路径,然后直接写shell

xp_dirtree是不被拦截的,可以通过这个找绝对路径

然后通过存储过程写webshell,这样是可以不被360拦截的

写了一个txt发现的确是写进去了,但是不知道为什么aspx写进去访问就404,估计是配置了什么,已经很晚了就歇了,明天再看

0x02 getshell

第二天打开电脑一看火绒报那个压缩包有毒,可能是因为昨天渗透的时候把杀软关了,就没有提示,重启电脑之后就提示了..

打开一看是一个webshell,问了一下老师说可能是之前测试的师傅留下的

虽然不懂asp不过大意差不多就是用@切割后的数字-142再用ascii码转成字符串

写了脚本得到密码是he11o,然后就用着这个shell上去了

whoami查看了一下是低权限,想到了之后某大佬说可以whoami /priv查看有没有可以切换权限的token,之后就发现了这个SeImpersonatePrivilege启用了,那么就可以用juicypotato提权

想办法先cs上线,tasklist查看一下发现上面有360

现在360还是比较好过的,直接签名伪造就免杀了

这里有个细节,asp的webshell直接执行shell.exe会提示拒绝访问,很多时候可能就以为杀软拦截了,其实用cmd /c shell.exe就可以执行了

0x03 提权+结束

这时候CS已经上线了,直接用taowu的插件提权就可以到system,顺便再扯一下,一般只要木马运行起来360然后在做什么敏感操作360就不会拦截了,不像卡巴斯基还会内存查杀

然后就是抓密码,netstat -ano后发现3389是开着的,但是应该只对特定的机器开放,开sock出来就可以登录了

主要的目的还是要找到某知名查成绩系统的登录密码,顺便扯一下,这个系统是有客户端的,并且数据库用的是oracle,这些以前都是不知道的,也是经过这次渗透测试学到的

在文件夹里面找到了数据库密码,然后用桌面上面的数据库管理工具登上去

拿到密码之后去cmd5解密就得到明文密码,之后就可以登录这个系统了